Minggu, 21 September 2014

Patch Openssl di Freebsd 9.3 menggunakan ports system


Dalam system freebsd secara default sudah menyertakan openssl didalam base installasi nya sehingga untuk mengupgrade openssl bisa menggunakan command
 
# freebsd-update fetch && freebsd-update install

Setelah melakukan perintah diatas openssl package akan secara otomatis terupdate jika memang sudah tersedia updatenya dari main security server freebsd.
Berikut versi openssl setelah binary upgrade
# openssl version
OpenSSL 0.9.8za-freebsd 5 Jun 2014

Ceritanya beberapa minggu yang lalu saya mencoba install OpenVAS di server saya yg menggunakan Linux distro centos 6.5 tujuannya untuk mengecek apakah server-server yang menjadi tanggung jawab saya dalam kondisi aman dan tidak ada security vulnerabilities.
Pertama kali yang menjadi target awal saya adalah server dengan system freebsd 9.3 dan berikut screenshot hasil yang di dapat :

Banyak sekali security hole terutama di software Openssl tercatat 2 item yang mendapatkan status HIGH (10) score.
Status diatas akan tetap ada walaupun saya sudah melakukan binary update di server ini.

Akhirnya saya ambil keputusan untuk mengupgrade Openssl menggunakan Ports System
Berikut langkah-langkah yang saya lakukan

Update ports tree ke latest
# portsnap fetch update

Tambahkan baris berikut di /etc/make.conf yang akan memaksa package2 yang kita build & install selanjutkan akan merujuk ke binary Openssl dari ports
 WITH_OPENSSL_PORT=yes

Install openssl dari ports
# portmaster security/openssl

Backup binary openssl yang lama dan buat symlink ke binary openssl yang baru.
# mv /usr/bin/openssl  /usr/bin/openssl.old
# ln -s /usr/local/bin/openssl /usr/bin/openssl

Check openssl version
# openssl version
 OpenSSL 1.0.1i 6 Aug 2014
Lakukan reboot system.

Kemudian rebuild ulang semua port yang berhubungan dengan package openssl seperti apache, php, mysql dan teman-temannya.

restart service  apache dan mysql
# service apache22 restart
# service mysql-server restart

Setelah system berhasil kita patch selanjutnya saya scan ulang dengan software OpenVAS
Berikut hasil scanner terakhir:


Terlihat semua vulnerabilities yang awalnya ada sudah hilang menyisakan 1 MEDIUM score yang mana setelah saya check ternyata false positive.
Semoga bermanfaat.